セキュリティ

攻撃者側の視点に立つと意外なほど簡単に対策の手落ちや弱点が見えてきます
セキュリティプロデューサー 有限会社ティーシーニック 代表取締役
新倉 茂彦 氏

掲載日:2026/04/21

攻撃者側の視点に立つと意外なほど簡単に対策の手落ちや弱点が見えてきます セキュリティプロデューサー 有限会社ティーシーニック 代表取締役 新倉 茂彦 氏

巧妙化するサイバー攻撃が新たな経営リスクとして顕在化する昨今、いくら優れた技術や製品を導入していても決して万全の対策とは言えない。新たなセキュリティ対策評価制度の運用も始まろうとしている中、攻撃者目線や人的・非技術の観点から企業のリスクをとらえるセキュリティプロデューサーの新倉茂彦氏から、中小企業が実効性のあるセキュリティ対策を講じるために不可欠なマネジメントの着眼点について聞いた。

目次

セキュリティ対策は人や組織にも注目すべき

BP:まずは新倉さんがセキュリティの領域に目を向けたきっかけを教えていただけますか。

新倉 茂彦氏(以下、新倉氏):ゲームをきっかけに小学生の頃からPCに没頭する、当時としてはちょっと珍しい子どもだったこともあり、インターネットの登場に私は大きな衝撃を受けました。メーカーや大手通信事業者が管理する従来のパソコン通信とは考え方自体が全く異なるわけですからね。「これは大変なことになるぞ」と直感し、当時の仕事であったイベントコーディネート業のかたわら、個人でWebサーバーを立ち上げ、セキュリティを学び始めたことがそもそものきっかけでした。その後、危機管理企業の情報セキュリティ部署の立ち上げに参画し、本格的にセキュリティの仕事に携わるようになりました。それが2000年のことです。

BP:その会社ではネットワークセキュリティの領域に取り組まれたのですか?
新倉氏:ネットワークのセキュリティもテーマの一つでしたが、当時、情報漏えい発生時にまず疑うべきは内部の「人」でした。さまざまな現実に触れる中、私自身の関心もサイバー領域から人間心理や組織管理の領域に自ずと移っていきました。また、人や組織に関する対策を考えることに、イベントコーディネートの経験が生かせると気づいたことも大きな理由でした。

BP:それはどのような意味でしょう?

新倉氏:海外アーティストのコーディネートを例にすると、空港で出迎え、宿舎やテレビ局、イベント会場、コンサート会場に送り届けることが分刻みのスケジュールで設定されているわけですが、どれだけ事前の準備を重ねても、何かしらのトラブルは発生します。その際に求められるのは、動きながら最適な判断を下すというスキルです。当初、私はセキュリティに対して、事前準備が全てを占めるスタティックな世界を想像していましたが、実際は全く違いました。インシデント発生時に「だから言ったじゃないですか」と言ったところで意味はありません。被害の最小化に向け、状況に応じて動きながら考えることが求められるのはイベントコーディネートの世界と全く同じなのです。近年、情報セキュリティはサイバー空間上で外部からの技術的要因が脅威だけと思われがちですが、サイバーセキュリティはその一部に過ぎないことは、まず押さえておく必要があると感じています。

"逆の思考"で考えるそれが対策のヒント

BP:中小企業を踏み台にしたサイバードミノリスクが叫ばれる中、企業は何に注目し、対策を進めるべきだと考えますか?

新倉氏:個別案件ならば、その質問に答えるのは容易です。しかし、業種も取り組みレベルも異なるあらゆる企業に当てはまる答えは存在しません。まず、端末のウイルス対策やネットワークの入口・出口対策などツールで対応できることは対策するのが大前提であることは間違いないのですが、その上で、組織や人の対策に取り組んでいく必要があります。具体的には、中小企業のセキュリティ対策に向けてIPA(情報処理推進機構)が定めた「SECURITY ACTION二つ星」が参考になるでしょう。「基本的対策」「従業員としての対策」「組織としての対策」に分類された全25項目を一つ一つ潰していくことをお勧めしたいと思います。

BP:自己評価を前提にすることがSECURITY ACTIONの課題であると指摘する声もあります。

新倉氏:まさにそのとおりで、対策の深度が重要になると考えています。「理解できている」と「出来ている」は一見同じかもしれませんが、実際は全く違います。私はセキュリティ研修の講師を務める機会も多いのですが、研修の最後に「分かりましたか?」と聞けば、皆さん「分かりました」と答えます。では、実際に同じような事態に遭遇した際に正しい行動がとれるかというと、それは別の話です。頭では理解できていても、引っかかる人はやはり引っかかるわけです。私のような外部の専門家を利用することも選択肢の一つですが、コストの問題に加え、できることに限りがあるというのが実情です。やはり、自分たち自身の成長を通して対策の深度を高めていくことが求められます。

BP:では、深度を高める上で何か具体的なアドバイスはありますか?

新倉氏:私がよくお話ししているのは、「逆を考える」ことです。旅行の準備を考えると分かりやすいのですが、どれだけ詳細なチェックリストを用意したところで、準備の手落ちや忘れ物はなくなりませんよね。それはセキュリティ対策も同じなのです。しかし、攻撃者の視点に立つと、意外なほど簡単に対策の手落ちや弱点が見えてきます。「金銭の目的と搾取」「企業秘密の窃取」など、攻撃者の目的とペルソナを具体的に設定し、その立場で自社の対策を眺めることは対策を考えるうえで大きな意味を持つと思います。同様に、対策の優先順位を変えてみることも有効です。セキュリティ対策は防御対象に優先順位をつけて対策を考えることが一般的です。そうした中、重要度が低い対象を最優先に考えるとどうなるかを具体的にシミュレーションすることで、これまで気づかなかった弱点が浮かび上がってくるはずです。

こちらの記事の全文はBP Navigator to Go「ニッポンの元気人」からご覧ください!
https://bp-platinum.com/platinum/view/files/bpntogo/genkijin/